[보안뉴스 오병민] 보안강화를 위해 많은 공공기관에서 방화벽을 이용하고 있지만 관리가 엉망이어서 제구실을 못하고 있는 것으로 드러났다.

보안뉴스에서 5개 공공기관 IT담당자를 대상으로 방화벽의 관리 실태를 전화 조사한 결과, 응답한 3개의 공공기관이 방화벽 관리에 허술한 것으로 드러났다. 나머지 2개 기관은 대답을 회피했다.

방화벽은 내부 시스템을 보호하기 위한 정보보안 수단으로 내부나 외부에서의 불법적인 접근을 차단하는 솔루션이다. 방화벽은 흔히 보안의 시작이라고 이야기할 정도로 기본 중에 기본이라고 볼 수 있다. 그러나 방화벽은 설치만으로는 효과가 크지 않다. 상황에 따라 차단과 예외에 대한 정책을 설정해 줘야 제구실을 할 수 있다.

다수의 공공기관 프로젝트에 참가했던 한 보안전문가는 “솔직히 방화벽은 기본적인 보안수단이라고 볼 수 있는데 대부분 기관이 방화벽 관리를 엉망으로 하고 있었다”면서 “대부분 오래되고 불필요한 정책이 그대로 남아있는 등 오랫동안 방치된 듯 했다”고 말했다.

이에 대해 한 공공기관의 IT담당자는 “IT담당자들의 수는 많지 않은 상황이기 때문에 각자가 담당해야 할 역할이 한 두 개가 아닌 상황에서 방화벽을 맡아서 관리하는 것은 쉬운 일은 아니다”라며 “솔직히 여력이 있다하더라도 방화벽 관리에는 전문지식이 요구되기 때문에 관리가 힘든 상황을 고려해 달라”고 말했다.

업무는 계속 늘어나지만 인력이 부족해 관리가 힘들다는 볼멘소리를 하고 있는 것.따라서 일부 기관들은 아쉬운 대로 방화벽 업체에 유지보수 및 관리를 맡기는 경우가 많았다. 그러나 유지보수를 맡은 업체는 업체 나름대로 관리의 어려움을 호소한다. 모든 관리를 맡기는 듯하나 실제로는 권한이 없어 제대로 된 관리가 어렵다고 하소연하고 있다.

한 방화벽 업체의 관계자는 “사실 방화벽을 이용해 보안을 강화할 경우 어느 정도의 불편함이 따르기 마련인데 유지보수 업체가 가진 권한이 없어 쉽사리 정책이나 설정을 건드리기가 힘든 상황”이라며 “한번은 보안강화에 필요해 새로운 포트차단 정책을 입력했지만 고객이 불편하다는 한마디에 다시 정책을 수정하기도 했다”면서 관리의 어려움을 호소했다.

보안업계 한 전문가는 “방화벽은 보안의 기본이라고 볼 수 있기 때문에 방화벽 관리가 제대로 안됐다면 보안이 엉망이라고 볼 수 있다”면서 “방화벽을 통한 기본적인 차단도 안된다면 DDoS나 개인정보 유출 등 다양한 보안이슈에 대비가 얼마나 될지 의문”이라고 비난했다.

그리고 그는 “방화벽 관리가 어렵다고는 하나 한 일주일 교육을 받고 운영해 보면 충분히 내부적으로도 관리가 가능하다”면서 “장비만 사놓고 방치하는 것과 같은 관심 부족이 문제”라고 지적했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>